Утечка вируса-вымогателя Conti показывает, что группа работает как обычная технологическая компания

Утечка вируса-вымогателя Conti показывает, что группа работает как обычная технологическая компания

Conti, которая использует вредоносное ПО для блокировки доступа к компьютерным данным до тех пор, пока не будет выплачен «выкуп», работает во многом как обычная технологическая компания, говорят специалисты по кибербезопасности, проанализировавшие просочившиеся документы группы.

eclipse_images

Российская группа, которую ФБР определило как одну из самых активных групп вымогателей в 2021 году, теперь может понять, каково это быть жертвой кибершпионажа.

Серия утечек документов раскрывает подробности о размере, руководстве и бизнес-операциях группы, известной как Conti, а также о том, что считается ее самым ценным достоянием: исходный код ее программы-вымогателя.

Шмуэль Гихон, исследователь безопасности в компании Cyberint, специализирующейся на анализе угроз, сказал, что группа возникла в 2020 году и превратилась в одну из крупнейших организаций по борьбе с программами-вымогателями в мире. По его оценкам, в группе около 350 членов, которые всего за два года заработали около 2,7 миллиарда долларов на криптовалюте.

В своем «Отчете о преступлениях в Интернете за 2021 год» ФБР предупредило, что программа-вымогатель Conti вошла в «три основных варианта», нацеленных на критически важную инфраструктуру в Соединенных Штатах в прошлом году. Бюро заявило, что Conti «чаще всего становилась жертвой критически важного производства, коммерческих объектов, пищевой промышленности и сельского хозяйства».

«До этого момента они были самой успешной группой», — сказал Гихон.

Акт мести?

В онлайн-сообщении, анализирующем утечки, Cyberint заявил, что утечка, по-видимому, является актом мести, вызванным постом Conti с внесенными поправками, опубликованным после вторжения России в Украину. Группа могла хранить молчание, но «как мы и подозревали, Конти выбрал сторону России, и именно здесь все пошло наперекосяк», — сказал Киберинт.

Утечки начались 28 февраля, через четыре дня после вторжения России в Украину.

Вскоре после публикации кто-то открыл аккаунт в Твиттере под названием «ContiLeaks» и начал сливать тысячи внутренних сообщений группы наряду с проукраинскими заявлениями.

Аккаунт Twitter отключил прямые сообщения, поэтому CNBC не смогла связаться с его владельцем.

Владелец учетной записи утверждает, что является «исследователем безопасности», — сказал Лотем Финкельштейн, глава отдела анализа угроз в Check Point Software Technologies.

Лидер, похоже, отошел от Twitter, написав 30 марта: «Мои последние слова… Увидимся после нашей победы! Слава Украине!»

Влияние утечки на сообщество кибербезопасности было огромным, сказал Гихон, добавив, что большинство его коллег по всему миру потратили недели на изучение документов.

Американская компания по кибербезопасности Trellix назвала утечку «Панамскими документами о программах-вымогателях» и «одним из крупнейших когда-либо проводившихся киберрасследований с использованием краудсорсинга».

Классическая организационная иерархия

Конти находится в абсолютном подполье и не дает комментариев средствам массовой информации, как это иногда делает, например, Anonymous. Но Cyberint, Check Point и другие кибер-специалисты, проанализировавшие сообщения, заявили, что они показывают, что Conti работает и организована как обычная технологическая компания.

После перевода многих сообщений, которые были написаны на русском языке, Финкельштейн сказал, что разведывательное подразделение его компании, Check Point Research, определило, что Conti имеет четкие функции управления, финансов и управления персоналом, а также классическую организационную иерархию с руководителями групп, которые подчиняются высшему руководству. .

Согласно выводам Cyberint, есть также свидетельства исследований и разработок (далее «RND») и подразделений по развитию бизнеса.

В сообщениях говорилось, что у Conti есть физические офисы в России, сказал Финкельштейн, добавив, что у группы могут быть связи с российским правительством.

«Наше … предположение состоит в том, что такая огромная организация с физическими офисами и огромными доходами не сможет действовать в России без полного одобрения или даже некоторого сотрудничества с российскими спецслужбами», — сказал он.

Посольство России в Лондоне не ответило на запросы CNBC о комментариях. Ранее Москва отрицала свое участие в кибератаках.

«Сотрудники месяца»

Исследование Check Point также обнаружило, что у Conti есть:

Наемные работники, некоторым из которых платят в биткойнах, а также обзоры производительности и возможности обучения. Переговорщики, получающие комиссионные в размере от 0,5% до 1% от выплаченных выкупов. месяц и «Сотрудник месяца», который получает премию, равную половине их заработной платы.

По данным Check Point Research, в отличие от известных компаний, Conti штрафует неэффективных компаний.

Личность работников также маскируется псевдонимами, такими как Стерн («большой босс»), Буза («технический менеджер») и Таргет («партнер Стерна и эффективный руководитель офисных операций»), сообщает Check Point Research.

Переведенные сообщения, показывающие штрафные санкции в Conti.

Источник: исследование Check Point.

«Общаясь с сотрудниками, высшее руководство часто доказывало, что работа в Conti — это дело всей жизни — высокие зарплаты, интересные задания, карьерный рост (!)», — согласно данным Check Point Research.

Тем не менее, некоторые сообщения рисуют другую картину, с угрозами увольнения за недостаточно быстрый ответ на сообщения — в течение трех часов — и рабочим временем в выходные и праздничные дни, сообщает Check Point Research.

Процесс найма

По словам Финкельштейна, Conti нанимает сотрудников как из законных источников, таких как российские службы хедхантинга, так и из криминального подполья.

Вызывает тревогу то, что у нас есть доказательства того, что не все сотрудники полностью осознают, что они являются частью группы киберпреступников.

Лотем Финкельштейн

Программные технологии Check Point

Найм был важен, потому что «неудивительно, что текучка, текучесть кадров и уровень выгорания были довольно высокими для сотрудников Conti низшего звена», — написал Брайан Кребс, бывший репортер Washington Post, на своем веб-сайте по кибербезопасности KrebsOnSecurity.

По данным Check Point Research, некоторые сотрудники даже не были компьютерными специалистами. Conti наняла людей для работы в колл-центрах. По данным ФБР, растет число случаев «мошенничества в сфере технической поддержки», когда мошенники выдают себя за известные компании, предлагают решить проблемы с компьютером или отменить плату за подписку.

Сотрудники в темноте

«Тревожно, что у нас есть доказательства того, что не все сотрудники полностью осознают, что они являются частью группы киберпреступников», — сказал Финкельштейн. «Эти сотрудники думают, что работают на рекламную компанию, хотя на самом деле они работают на печально известную группу вымогателей».

В сообщениях видно, что менеджеры лгали кандидатам об организации, а один говорил потенциальному найму: «Здесь все анонимно, основное направление компании — ПО для пентестеров» — имея в виду пентестеров, законных специалистов по кибербезопасности, которые имитируют кибератаки. против компьютерных сетей своих компаний.

В серии сообщений Стерн объяснил, что группа держала программистов в неведении, заставляя их работать над одним модулем или частью программного обеспечения, а не над всей программой, сообщает Check Point Research.

Согласно переведенным сообщениям, если сотрудники в конце концов выяснят ситуацию, сказал Стерн, им предлагается прибавка к зарплате, чтобы они остались.

Вниз, но не наружу?

По данным Check Point Research, еще до утечки Conti демонстрировала признаки бедствия.

Согласно сообщениям, Стерн замолчал примерно в середине января, и выплаты зарплаты прекратились.

За несколько дней до утечки во внутреннем сообщении говорилось: «Утечек было много, были… аресты… начальника нет, ясности нет… денег тоже нет… Я должен попросить всех вас принять 2 -3 месяца отпуска.»

По данным Check Point Research, несмотря на то, что группа была ограничена, она, скорее всего, снова поднимется. В отличие от своего бывшего конкурента REvil, члены которого, по словам представителей России, были арестованы в январе, Conti все еще «частично» работает, заявила компания.

Группа пережила и другие неудачи, в том числе временное отключение Trickbot — вредоносной программы, используемой Conti, — и аресты нескольких подозреваемых сообщников Trickbot в 2021 году.

Несмотря на продолжающиеся усилия по борьбе с группами программ-вымогателей, ФБР ожидает увеличения количества атак на критически важную инфраструктуру в 2022 году.

Ваш адрес email не будет опубликован.